Google+

През 2024 г. Google е изплатила възнаграждения на стойност 11,8 млн. USD в рамките на своята Bug Bounty програма. Те са били разпределени между 660 изследователи.

Програмата е насочена към поддържане на безопасността на продуктите на компанията и откриване на нови уязвимости. Тя изисква от изследователите да попълнят формуляр, в който се посочват техническите подробности за уязвимостта, като всеки раздел има свой собствен набор от правила. Участниците трябва да ги спазват, за да бъде взето предвид тяхното изследване.

Максималната награда за единична уязвимост в Chrome е 250 000 USD. През миналата година в уеб браузъра на Google са докладвани 337 уникални грешки в сигурността.

Малко повече от 25% от общата сума (3,3 млн. долара) е изплатена на изследователи, съобщили за уязвимости в мобилните приложения на Android и Google.

2024 е първата година, в която са включени грешки, свързани с изкуствения интелект. Докладваните грешки са 150 и са изплатени 55 000 USD награди.

 

Борбата на Google да замени „бисквитките“ за проследяване навлезе в нова фаза. От години компанията твърди, че постепенно ще се откаже от този механизъм, на който се гради голяма част от рекламния ѝ бизнес онлайн.

Сега тя обяви, че ще въведе цифрови отпечатъци (digital fingerprint). Това са уникални идентификатори за вас или вашето устройство въз основа на различни части от информацията, събрана при сърфиране в интернет, като например:

• операционна система: Windows, Android, iOS и др.
• вид и версия на браузъра;
• IP адрес;
• инсталирани плъгини на браузъра
• часова зона;
• езикови настройки

С всички тези данни е възможно да се създаде уникален отпечатък, по който уебсайтовете могат да ви разпознаят, дори ако изтриете бисквитките си. Те ще правят и обосновани предположения, ако посетите същия сайт с друг браузър.

„За разлика от „бисквитките“, потребителите не могат да изчистят цифровия си отпечатък и следователно не могат да контролират начина, по който се събира тяхната информация“, обясняват от Google.

Какво мога да направя?

Както става ясно от казаното от компанията, противодействието на цифровия отпечатък е много по-трудно. Но има някои неща, които можете да направите, за да затрудните проследяването.

Те включват:

• преминаване към браузър, който предоставя вградени функции за противодействие на снемането на цифрови отпечатъци;
• инсталация на разширение за браузъра, което предлага защита срещу снемане на цифрови отпечатъци;
• използване на VPN услуга, която може да маскира вашия IP адрес и местоположение‘
• поддържане на браузъра актуализиран, така че старата му версия да не издава данните ви;
• деактивиране на JavaScript, което значително намалява данните, събирани за вас от уебсайтовете.

През 2024 г. Google e блокирала 2,36 млн. рискови приложения, подадени в Play Store. Освен това 158 000 акаунта на разработчици са били затворени заради опити за публикуване на зловреден и шпионски софтуер в официалния магазин за Android.

За сравнение, през 2023 г. Google е блокирала 2 280 000 рискови приложения, а през 2022 г. – 1 500 000. Цифрите за блокираните акаунти на разработчици са били съответно 333 000 и 173 000.

По-големият брой блокирани приложения през 2024 г. отчасти се дължи на изкуствения интелект, подпомагащ човешките прегледи. Технологията е била използвана в 92% от случаите, при които са открити нарушения.

Google съобщава също така, че е предотвратила и получаването на прекомерни разрешения от 1,3 милиона приложения. Те биха им предоставили ненужен достъп до чувствителни потребителски данни.

Въпреки че компанията засилва защитата на Android всяка година, пропуски в сигурността продължава да има. Киберпрестъпниците използват нови, все по-усъвършенствани методи за заобикаляне на автоматичните скенери.

Затова потребителите трябва:

• да се доверяват само на реномирани разработчици и винаги да проверяват отзивите за непознати такива;
• да поддържат броя на инсталираните приложения на минимално необходимото ниво;
• да проверяват и отменят разрешенията на рискови приложения и да гарантират, че системата за проверка Play Protect работи във всеки един момент.

В края на миналата година FreedomOnline съобщи за масивна фишинг кампания, компрометирала най-малко 5 разширения за Google Chrome. Вече е ясно, че броят им е значително по-голям – 35 – като те се използват от приблизително 2,6 милиона потребители. Във всички тях хакерите са инжектирали зловреден код за кражба на чувствителна информация.

Атакуващите са използвали фишинг имейли, маскирани като официални известия от Google Chrome Web Store Developer Support. Чрез тях те са подмамили разработчиците да им предоставят OAuth разрешения за техните проекти. По този начин участниците в заплахата са заобиколили мерките за MFA и са получили възможност да качват нови, компрометирани версии.

Засегнатите разширения варират от популярни инструменти за виртуални частни мрежи (VPN) до приставки за производителност. Злонамереният код отвлича потребителски сесии, бисквитки и идентификационни данни за акаунти в социалните медии. Една от основните цели на кампанията са корпоративни профили с достъп до платени рекламни функции.

Ето го и целият списък със засегнати разширения:

Extension Name	Status	Version / Identifier
Where is Cookie?	Not yet addressed	emedckhdnioeieppmeojgegjfkhdlaeo
Web Mirror	Not yet addressed	eaijffijbobmnonfhilihbejadplhddo
ChatGPT App	Not yet addressed	lbneaaedflankmgmfbmaplggbmjjmbae
Hi AI	Not yet addressed	hmiaoahjllhfgebflooeeefeiafpkfde
Web3Password Manager	Not yet addressed	pdkmmfdfggfpibdjbbghggcllhhainjo
YesCaptcha assistant	Not yet addressed	[email protected]
Bookmark Favicon Changer	Addressed	5.1 / [email protected]
Proxy SwitchyOmega (V3)	Not yet addressed	[email protected]
GraphQL Network Inspector	Addressed	2.22.7 / [email protected]
AI Assistant	Removed from store	bibjgkidgpfbblifamdlkdlhgihmfohh
Bard AI chat	Removed from store	pkgciiiancapdlpcbppfkmeaieppikkk
ChatGPT for Google Meet	Removed from store	epdjhgbipjpbbhoccdeipghoihibnfja
Search Copilot AI Assistant for Chrome	Removed from store	bbdnohkpnbkdkmnkddobeafboooinpla
TinaMind	Addressed	2.14.0 / befflofjcniongenjmbkgkoljhgliihe
Wayin AI	Addressed	0.0.11 / cedgndijpacnfbdggppddacngjfdkaca
VPNCity	Not yet addressed	nnpnnpemnckcfdebeekibpiijlicmpom
Internxt VPN	Addressed	1.2.0 / dpggmcodlahmljkhlmpgpdcffdaoccni
Vidnoz Flex	Removed from store	cplhlgabfijoiabgkigdafklbhhdkahj
VidHelper	Not yet addressed	egmennebgadmncfjafcemlecimkepcle
Castorus	Addressed	4.41 / mnhffkhmpnefgklngfmlndmkimimbphc
Uvoice	Not yet addressed	oaikpkmjciadfpddlpjjdapglcihgdle
Reader Mode	Not yet addressed	fbmlcbhdmilaggedifpihjgkkmdgeljh
ParrotTalks	Not yet addressed	kkodiihpgodmdankclfibbiphjkfdenh
Primus	Addressed	3.20.0 / oeiomhmbaapihbilkfkhmlajkeegnjhe
Keyboard History Recorder	Not yet addressed	igbodamhgjohafcenbcljfegbipdfjpk
ChatGPT Assistant	Not yet addressed	bgejafhieobnfpjlpcjjggoboebonfcg
Reader Mode	Removed from store	llimhhconnjiflfimocjggfjdlmlhblm
Visual Effects for Google Meet	Addressed	3.2.4 / hodiladlefdpcbemnbbcpclbmknkiaem
AI Shop Buddy	Not yet addressed	epikoohpebngmakjinphfiagogjcnddm
Cyberhaven V3 Security Extension	Addressed	pajkjnmeojmbapicmbpliphjmcekeaac
Earny	Not yet addressed	oghbgbkiojdollpjbhbamafmedkeockb
Rewards Search Automator	Not yet addressed	eanofdhdfbcalhflpbdipkjjkoimeeod
Tackker	Addressed	ekpkdmohpdnebfedjjfklhpefgpgaaji
Sort By	Not yet addressed	miglaibdlgminlepgeifekifakochlka
Email Hunter	Not yet addressed	mbindhfolmpijhodmgkloeeppmkhpmhc

Ако използвате някое от тях:

• незабавно деинсталирайте или актуализирайте до поправена версия;
• нулирайте паролите и отменете активните сесии;
• прегледайте личните и служебните си акаунти за необичайна активност.

Разработчиците трябва да бъдат бдителни по отношение на опитите за фишинг и да активират надеждни проверки за сигурност на своите приложения.

С 2,5 млрд. акаунта Gmail е най-голямата услуга за електронна поща в света. Това я превръща в любим вектора за кибератаки на хакерите. И въпреки че Google постоянно въвежда нови функции за сигурност, те измислят нови тактики.

Навлизането на AI и възможностите за deepfake, които дава той, се превърнаха в поредното оръжие в арсенала на киберпрестъпниците. Те използват технологията, за да създават изключително реалистични фалшиви видеоклипове или аудиозаписи, почти неразличними от автентично съдържание от реални хора.

Платформите за deepfake стават все по-достъпни и вече дори хора без предишен опит могат да създават убедително съдържание. Атаките имат такова качество, че могат да заблудят дори опитен професионалист в областта на киберсигурността.

Пример за това е консултантът по решения за сигурност на Microsoft Сам Митрович. През октомври той става жертва на атака, задвижвана от AI.

Тя протича така:

• получава известие за опит за възстановяване на акаунт в Gmail. На пръв поглед то идва от Google;
• експертът игнорира това съобшение, но седмица след това получава телефонното обаждане от „отдела за поддръжка“ на компанията. То е извършено от напълно легитимен телефонен номер;
• впоследствие обаждащият се изпраща имейл за потвърждение.

Тъй като е консултант по сигурността обаче, Митрович забелязва нещо, което по-малко опитен потребител би пропуснал. В полето за изпращача е умело замаскиран адрес, който всъщност не е на Google. Ако не беше забелязал това несъответствие, Митрович е можело да завърши „процеса на възстановяване“. Това би позволило на нападателя да прихване данните за вход и бисквитката на сесията, а оттам и да заобикали 2FA.

За да ограничите максимално риска да стането жертва на подобни атаки, Google препоръчва:

• ако получите подобно предупреждение, избягвайте да кликвате върху връзки, да изтегляте прикачени файлове или да въвеждате лична информация. „Google използва усъвършенствана система за сигурност, за да ви предупреждава за опасни съобщения, опасно съдържание или измамни уебсайтове“, казват от компанията. „Не въвеждайте лична информация в имейли, съобщения, уебстраници или изскачащи прозорци от ненадеждни или непознати доставчици.“
• не отговаряйте на искания за лична информация по имейл, текстово съобщение или телефонно обаждане;
• ако смятате, че имейл за сигурност, който изглежда като от Google, може да е фалшив, отидете директно на myaccount.google.com/notifications. На тази страница можете да проверите последните дейности по сигурността на вашия профил в Google;
• пазете се от съобщения, изискващи спешни действия. Това важи с пълна сила за такива, които на пръв поглед идват от близки хора, като например приятел, член на семейството или колега;
• ако все пак кликнете върху връзка и бъдете помолени да въведете паролата за вашия Gmail, акаунт в Google или друга услуга: Не го правете! Вместо това отидете директно на уебсайта, който искате да използвате.

 

Многофакторната автентификация (MFA) повишава сигурността на имейл акаунтите, като подлага потребителите на допълнителна проверка освен паролата. Тя намалява риска от неоторизиран достъп, което я прави критична мярка за сигурност на чувствителна информация в електронната поща. 

Хакерите обаче са започнали да крадат „бисквитки“ на сесии в браузърите, за да пробиват имейл акаунти с активирана MFA. За целта те използват уязвимости в мрежите или заразяване на устройствата със зловреден софтуер. 

Когато влизате в който и да е уебсайт, сървърът създава уникален идентификатор на сесията, който се запомня в браузъра ви като „бисквитка“. Нейният живот обикновено е 30 дни, като тя помага на потребителя да влиза в същата система без затруднения. 

В случай, че хакер открадне тази специфична „бисквитка“ за сесията, той може да я използва, за да си осигури достъп до акаунта ви. Дори когато е въведено MFA, предупреждават изследователи по киберсигурност от Malwarebytes. Откраднатата „бисквитка“ съдържа валидната информация за сесията, която позволява на нападателя да заобиколи допълнителната стъпка за удостоверяване, изисквана от MFA.  

Когато нападателят получи неоторизиран достъп до имейл акаунт, той открива съкровищница от чувствителна информация. Тя може да съдържа номера на кредитни карти и адреси, използвани в онлайн магазините. Тези данни се изпозлват за фишинг, атаки от типа man in the middle и дори за кражба на самоличност. 

За да се защитите, освен MFA: 

• инсталирайте софтуер за сигурност на всички устройства; 
• поддържайте устройствата и софтуера актуализирани; 
• използвайте предпазливо опцията „Запомни ме“. 
• изтривайте бисквитките след използване на браузъра; 
• посещавайте само сайтове, защитени с HTTPS; 
• редовно преглеждайте историята на влизане в ключови акаунти. 

В днешната дигитална епоха поддържането на контрол върху личната ви информация е по-важно от всякога.  

Социалните медии със слаби настройки за сигурност и всякакви онлайн дейности под истинското ви име могат лесно да бъдат използвани за създаване на обширна картина на вашата цифрова идентичност. Тя ще съдържа вашите интереси, навици и връзки и може да се превърне в оръжие срещу самите вас.  

Фишинг атаките, базирани на социално инженерство, използват точно такава информация. А колкото повече данни има за вас в мрежата, толкова по уязвими сте. 

Според 2024 Verizon Data Breach Investigations Report цели 68% от нарушенията на сигурността на данните са се случили заради човешка грешка. Голям процент от тези грешки идват, след като даден потребител е станал жертва именно на фишинг атака. 

Социалното инженерство обикновено има за цел да подмами хората да изпратят пари или да разкрият чувствителни данни. Така че подобни кампании могат да имат изключително сериозни последици.  

Какво има за мен в Google Search? 

За да си отговорите на този въпрос, можете да направите следното упражнение: 

• потърсете собственото си име (в идеалния случай в кавички, като използвате режима инкогнито на уеб браузъра и без да сте влезли в профила си в Google) и вижте какво се появява. Обикновено това е вашият профил в социалните мрежи, блог или уебсайт, свързан с работата ви;
• прецизирайте търсенето си с допълнителен параметър, например често посещаван уебсайт или може би името на вашата улица. Не е изненадващо, че резултатите от търсенето стават по-конкретни, което показва колко мощни са търсачките в събирането на нечии данни. 

Премахване на данните ви 

Добрата новина е, че Google позволява на потребителите да поискат премахване на определена информация за себе си. Особено, когато тя е критична. Можете да подадете директна заявка до платформата за преглед и премахване на резултати в търсенето. Те трябва да отговарят на определени критерии – например излагане на вашия имейл или домашен адрес, данни за вход или друга лична информация. 

Самата заявка за премахване е доста лесно да се придвижи – просто попълнете необходимия формуляр. Ако проблемът не е ясен или Google изисква допълнителна информация, за да определи точно за какво става въпрос, ще получите имейл с искане за допълнителни разяснения. 

Търсачката предоставя и инструмент, наречен Results about you (Резултати за вас), който позволява на потребителите да проследят онлайн данните за себе. За съжаление, той все още не е достъпен от България, но Google се е ангажирала да разширява постоянно достъпа до него.  

Когато това се случи, FreedomOnline ще ви уведоми своевременно. 

Нов инструмент демонстрира как хакерите могат да заобиколят защитата срещу кражба на бисквитки на Chrome – App-Bound – и да извлекат запаметените данни. 

Chrome-App-Bound-Encryption-Decryption е разработен от изследователя на киберсигурността Александър Хагена. 

През юли Google представи технологията App-Bound в Chrome 127 като нов механизъм за защита. Тя криптира бисквитките, използвайки услуга на Windows, която работи с привилегиите на ниво операционна система. Целта ѝ е да се защити чувствителната информация от зловреден софтуер, който използва правата на регистрирания потребител. Тя прави невъзможно декриптирането на откраднатите бисквитки, без да се вдигне тревога от софтуера за сигурност. 

Инструментът на Хагена обаче декриптира криптираните App-Bound ключове, съхранявани във файла Local State на Chrome. За целта той използва вътрешната COM-базирана услуга IElevator на Chrome. 

За да се използва той, трябва да се копира изпълнимият файл в директорията на Google Chrome. Тя обикновено се намира в C:\Program Files\Google\Chrome\Application. Тази папка е защитена, така че първо трябва да бъдат получени администраторски права. Но това е лесно постижимо, тъй като много потребители на Windows използват акаунти, които имат такива. 

Подобни методи вече се използват от хакерските групи. Затова избягвайте да съхранявате чувствителни данни в своите браузъри, независимо от уверенията за сигурност на техните производители.  

Кампания на известната хакерска група Lazarus Group разкри нова уязвимост в Google Chrome. Хакерите са използвали zero-day експлойт и инструмента Manuscrypt, за да поемат пълен контрол над заразените системи. 

Тази кампания се отличава от досегашните атаки на групата срещу правителства, финансови институции, платформи за криптовалути и др., тъй като е насочена директно към физически лица. 

От компанията за сигурност Kaspersky са проследили кампанията до фалшив уебсайт – detankzone.com – който се представя за легитимна DeFi гейминг платформа. Играта, рекламирана като NFT мултиплейърна онлайн арена за битки, се оказва фасада за зловреден код. Посетителите задействат експлойта просто като достъпват сайта през Chrome.  

Той е насочен към нововъведена функция във V8 JavaScript енджина на Chrome. Уязвимостта позволява на нападателите да заобиколят механизмите за сигурност на браузъра и да получат дистанционен контрол над засегнатите устройства.  

Хакерски групи като Lazarus продължават да усъвършенства атаките си, използвайки социално инженерство, zero-day eксплойти и легитимно изглеждащи платформи. Затова потребителите трябва да са много внимателни в какви сайтове влизат. Както се вижда от този случай, понякога е достатъчно само да посетите определена страница, за да станете жертва.  

Последиците могат да бъдат изключително сериозни. Само си помислете какво може да означава за вас някой да поеме пълен контрол над компютъра ви. 

Microsoft e най-използваният бранд за фишинг атаки в света. Когато става дума за кампании, базирани на имената на компании, това на създателя на Windows е засегнато в 61% от случаите.   

Apple се нарежда на втора позиция, като името и е замесено в 12% от опитите за фишинг. На трето място е Google – 7%. 

Facebook (3%), WhatsApp (1,2%) и Amazon (1,2%) оформят първата шестица. 

Alibaba прави своя дебют в топ 10 на Brand Phishing Ranking на Check Point Research за Q3 на седмата позиция с 1,1%. Adobe е осма с 0,8%, а деветото и десетото място са съответно за Twitter (0,8%) и Adidas (0,6%). 

Едно от заключенията в доклада сочи, че расте броят на имитиращите центърa за сигурност на WhatsApp страници. Те обикновено подканят потребителите да въведат лична информация, включително телефонен номер и държава или регион, под претекст за разрешаване на проблеми с акаунти. 

Тези данни показват, че трябва да бъдете изключително внимателни, когато получавате неочаквани имейли от водещи имена на технологичното поле (и не само). Ако получите подобно съобщение, направете всичко необходимо да се уверите в автентичността на подателя.